如何使用 Spring 安全性获取会话超时消息

Question

我想在会话到期时获取会话超时消息。下面是我的 spring-security.xml

<http auto-config="true" use-expressions="true">
    <logout logout-success-url="/" invalidate-session="true" logout-url="/LogOut"/>
    <form-login login-page="/Login" username-parameter="Name" password-parameter="Pwd"/>
    <session-management invalid-session-url="/?timeout=true">
        <concurrency-control max-sessions="1" expired-url="/Timeout?timeout=true" />
    </session-management>
</http>

据我所知，当会话过期时使用上面的代码，它应该重定向到/?timeout=true OR /Timeout?timeout=true。注销时应该转到/。但在我的注销情况下，它也重定向到invalid-session-url，所以对于正常注销和会话超时，我总是得到超时。

请帮我区分一下。

更新

/logout 请求包含

session = request.getSession();
session.invalidate();
session = null;

Answer 1

我解决了！通过编写一个过滤器，而不是依赖于 Spring-security。

如果有人有兴趣，他们可以使用以下代码：-

import java.io.IOException;
import java.io.PrintWriter;
import java.io.StringWriter;
import java.text.MessageFormat;

import javax.servlet.FilterChain;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;
import org.springframework.web.filter.OncePerRequestFilter;

public class FilterToGetTimeOut extends OncePerRequestFilter {

    @Override
    public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException {
        try {
            if(request.getRequestURI().equals("/") || request.getRequestURI().equals("/Login/")){
                if(request.getSession().getAttribute("login") != null && (Boolean)request.getSession().getAttribute("login") == true){
                    response.sendRedirect(URL);     //After login page
                }
            } else if(request.getSession().getAttribute("login") == null && !request.getRequestURI().equals("/LogOut")){
                response.sendRedirect(request.getContextPath()+"/?timeout=true");   //If timeout is true send session timeout error message to JSP
            }
            filterChain.doFilter(request, response);
        } catch (Exception e) {
            //Log Exception

        }
    }
}

在web.xml中添加这个过滤器。

    <filter>
        <filter-name>FilterToGetTimeOut </filter-name> 
        <filter-class>package.FilterToGetTimeOut </filter-class> 
    </filter>
    <filter-mapping> 
        <filter-name>FilterToGetTimeOut</filter-name> 
        <url-pattern>/*</url-pattern> 
    </filter-mapping> 

所以现在会话也失效了，我也可以处理会话超时。

Answer 2

我建议您使用以下方式注销：

HttpSession session= request.getSession(false);
    SecurityContextHolder.clearContext();
        if(session != null) {
            session.invalidate();
        }
        for(Cookie cookie : request.getCookies()) {
            cookie.setMaxAge(0);
        }

Answer 3

在您的情况下，当用户注销时，会话首先失效，然后会话管理将被触发。当会话管理进来，发现会话已经消失时，会话超时页面将被重定向。所以最好将logout标签的invalidate-session设置为false。

<logout logout-success-url="/" invalidate-session="false" logout-url="/LogOut"/>

Answer 4

请在您的控制器中定义注销成功 url 的请求映射，并从那里重定向到主页。例如替换您的映射如下

<http auto-config="true" use-expressions="true">
<logout logout-success-url="/logoutSucess" invalidate-session="true" logout-url="/LogOut"/>
<form-login login-page="/Login" username-parameter="Name" password-parameter="Pwd"/>
<session-management invalid-session-url="/?timeout=true">
    <concurrency-control max-sessions="1" expired-url="/Timeout?timeout=true" />
</session-management>

使用@RequestMapping(value="/logoutSucess" method=RequestMethod.GET) 在控制器中定义这个/logoutSucess

Answer 5

我也有类似的问题，比如

1. 如果您使用某些用户登录，请说 zzzz
2. 您关闭了浏览器
3. 您再次尝试使用同一用户 zzzz 登录
4. 登录失败并显示超出最大会话的消息

我的 spring 安全文件中的代码是：

<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/logout?timeout" />

我通过在 web.xml 文件中添加会话超时条目解决了这个问题。 我将会话超时值设置为 5 分钟，构建应用程序并部署。 它工作正常。

这可能会对某人有所帮助。

谢谢， 阿图尔